Agentes de ameaças foram observados explorando diversas falhas de segurança em vários produtos de software, incluindo Progress Telerik UI para ASP.NET AJAX e Advantive VeraCore, para remover shells reversos e shells da web e manter acesso remoto persistente a sistemas comprometidos.
- Leia também: A Importância de um Anti-SPAM para seus e-mails profissionais
- Leia também: Criação de Sites e Lojas Virtuais em Pernambuco
- Leia também: LiteSpeed com cPGuard em sua Hospedagem de Sites
- Leia também: Hospedagem grátis por 30 dias com ativação imediata
A exploração de falhas de segurança de dia zero no VeraCore foi atribuída a um agente de ameaças conhecido como XE Group , um grupo de crimes cibernéticos provavelmente de origem vietnamita que está ativo desde pelo menos 2010.
“O XE Group fez a transição da clonagem de cartões de crédito para o roubo direcionado de informações, marcando uma mudança significativa em suas prioridades operacionais”, disse a empresa de segurança cibernética Intezer em um relatório publicado em colaboração com a Solis Security.
“Seus ataques agora têm como alvo cadeias de suprimentos nos setores de manufatura e distribuição, aproveitando novas vulnerabilidades e táticas avançadas.”
As vulnerabilidades em questão estão listadas abaixo –
CVE-2024-57968 (pontuação CVSS: 9,9) – Um upload irrestrito de arquivos com uma vulnerabilidade de tipo perigoso que permite que usuários autenticados remotamente carreguem arquivos para pastas não intencionais (corrigido na versão 2024.4.2.1 do VeraCode)
CVE-2025-25181 (pontuação CVSS: 5,8) – Uma vulnerabilidade de injeção de SQL que permite que invasores remotos executem comandos SQL arbitrários (nenhum patch disponível)
As últimas descobertas da Intezer e da Solis Security mostram que as deficiências estão sendo encadeadas para implantar shells da web ASPXSpy para acesso não autorizado a sistemas infectados, em uma instância aproveitando o CVE-2025-25181 já no início de 2020. A atividade de exploração foi descoberta em novembro de 2024.
Os web shells vêm equipados com capacidades para enumerar o sistema de arquivos, exfiltrar arquivos e compactá-los usando ferramentas como 7z. O acesso também é abusado para derrubar uma carga útil do Meterpreter que tenta se conectar a um servidor controlado por ator (“222.253.102[.]94:7979”) por meio de um soquete do Windows.
A variante atualizada do web shell também incorpora uma variedade de recursos para facilitar a varredura de rede, a execução de comandos e a execução de consultas SQL para extrair informações críticas ou modificar dados existentes.
Embora ataques anteriores realizados pelo XE Group tenham transformado vulnerabilidades conhecidas em armas , como falhas na interface do usuário do Telerik para ASP.NET ( CVE-2017-9248 e CVE-2019-18935 , pontuações CVSS: 9,8), o desenvolvimento marca a primeira vez que a equipe de hackers foi atribuída à exploração de dia zero, indicando um aumento na sofisticação.
“A capacidade deles de manter acesso persistente aos sistemas, como visto na reativação de um shell da web anos após a implantação inicial, destaca o comprometimento do grupo com objetivos de longo prazo”, disseram os pesquisadores Nicole Fishbein, Joakim Kennedy e Justin Lentz.
“Ao mirar nas cadeias de suprimentos nos setores de manufatura e distribuição, o XE Group não apenas maximiza o impacto de suas operações, mas também demonstra uma compreensão aguçada das vulnerabilidades sistêmicas.”
CVE-2019-18935, que foi sinalizada por agências governamentais do Reino Unido e dos EUA em 2021 como uma das vulnerabilidades mais exploradas, também foi alvo de exploração ativa no mês passado para carregar um shell reverso e executar comandos de reconhecimento de acompanhamento via cmd.exe.
“Embora a vulnerabilidade no Progress Telerik UI para ASP.NET AJAX tenha vários anos, ela continua sendo um ponto de entrada viável para agentes de ameaças”, disse a eSentire . “Isso destaca a importância de aplicar patches em sistemas, especialmente se eles forem expostos à internet.”
CISA adiciona 5 falhas ao catálogo KEV
O desenvolvimento ocorre no momento em que a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou cinco falhas de segurança ao seu catálogo de Vulnerabilidades Exploradas Conhecidas ( KEV ), com base em evidências de exploração ativa.
CVE-2025-0411 (pontuação CVSS: 7,0) – Vulnerabilidade de desvio de marca 7-Zip da Web
CVE-2022-23748 (pontuação CVSS: 7,8) – Vulnerabilidade de controle de processo de descoberta Dante
CVE-2024-21413 (pontuação CVSS: 9,8) – Vulnerabilidade de validação de entrada imprópria do Microsoft Outlook
CVE-2020-29574 (pontuação CVSS: 9,8) – Vulnerabilidade de injeção de SQL do CyberoamOS (CROS)
CVE-2020-15069 (pontuação CVSS: 9,8) – Vulnerabilidade de estouro de buffer do firewall Sophos XG
Na semana passada, a Trend Micro revelou que grupos cibernéticos russos estão explorando o CVE-2025-0411 para distribuir o malware SmokeLoader como parte de campanhas de spear-phishing direcionadas a entidades ucranianas.
A exploração de CVE-2020-29574 e CVE-2020-15069, por outro lado, foi associada a uma campanha de espionagem chinesa rastreada pela Sophos sob o apelido Pacific Rim.
Atualmente, não há relatórios sobre como o CVE-2024-21413, também rastreado como MonikerLink pela Check Point, está sendo explorado na natureza. Quanto ao CVE-2022-23748, a empresa de segurança cibernética divulgou no final de 2022 que observou o ator da ameaça ToddyCat aproveitando uma vulnerabilidade de carregamento lateral de DLL no Audinate Dante Discovery (“mDNSResponder.exe”).
- Leia também: Entenda os meios para hospedagem de sites na internet
- Leia também: Otimize seu Site para Velocidade Máxima com cPanel Guia Completo
- Leia também: Ative a autenticação de dois fatores no cPanel para segurança máxima
- Leia também: Proteja seus dados com o Gerenciador de Senhas do cPanel
As agências do Poder Executivo Civil Federal ( FCEB ) são obrigadas a aplicar as atualizações necessárias até 27 de fevereiro de 2025, de acordo com a Diretriz Operacional Vinculativa (BOD) 22-01 para proteção contra ameaças ativas.
